De Privacywetgeving AVG / GDPR in het kort

Op 25 mei 2018 gaat de nieuwe privacywetgeving Algemene Verordening Gegevensbescherming (AVG / GDPR) in en moeten alle organisaties zich hieraan houden. Deze wet brengt strengere eisen met zich mee aan de verwerking van persoonsgegevens dan zijn voorganger; de Wet bescherming persoonsgegevens (Wbp).

Het belangrijkste doel van de wet AVG is om persoonlijke gegevens van inwoners van de EU beter te beschermen en de regels hierover te uniformiseren. Op IT-Contracts worden door ZZP ICT-ers continu CV’s opgeslagen en verzonden naar potentiele opdrachtgevers. Een CV is bij uitstek een document met persoonlijke gegevens.

De AVG bepaalt hoe omgegaan moet worden met deze gegevens door verwerkers en verwerkingsverantwoordelijken.

verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Rechtmatig en transparant

Rechtmatigheid en transparantie zijn de belangrijkste kernwoorden van de AVG. Voor rechtmatige verwerking van persoonsgegevens is de toestemming van de betrokkene vereist of een andere gerechtvaardigde grondslag. Artikel 39 stelt: “Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hun betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt”.

Behoorlijk en veilig

Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt.

Dataminimalisatie

De AVG bepaalt dat je zo min mogelijk persoonsgegevens van een persoon vraagt en dus opslaat.

Doel

Je mag alleen persoonlijke informatie opslaan als dat een duidelijk doel dient. Zonder expliciete toestemming vooraf van een persoon kun je zijn gegevens alleen verwerken als je een zogenaamd “gerechtvaardigd belang” hebt. De verwachting dat een kandidaat interesse heeft in een vacature kan een gerechtvaardigd belang zijn zolang je een goed antwoord kunt geven op de vraag waarom jouw recruitmentwens zwaarder zou mogen wegen dan het privacybelang van de betreffende kandidaat.

Bewaartermijn

De opgeslagen informatie mag niet langer dan noodzakelijk worden bewaard. Hoe lang noodzakelijk is, is natuurlijk discutabel.

Meer lezen? Check hier de volledige tekst van de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) in het Publicatieblad van de Europese Unie.